RGPD : les conseils d’un juriste pour être conforme au règlement

L’arrivée du RGPD est imminente. Dans quelques jours, le règlement général de protection des données entrera en vigueur dans tous les pays d’Europe. Depuis un an et demi, toutes les entreprises, quelle que soit leur taille ou leur secteur sont appelées à se conformer aux nouvelles prérogatives visant à protéger les données personnelles des citoyens. Pour certaines, c’est encore la panique, démunies devant une tâche qui leur paraît insurmontable.

Logés à la même enseigne que les autres, les juristes et avocats se retrouvent sur plusieurs fronts. Non contents d’accompagner les entreprises sur les enjeux juridiques du RGPD, ils doivent également être eux-mêmes conformes aux exigences de la loi. Thierry Vallat, avocat à la Cour, délivre quelques bonnes pratiques pour préparer les entreprises au RGPD.

Faire un état des lieux

Spécialisé dans les questions liées au numérique et à la propriété intellectuelle, Thierry Vallat s’est beaucoup penché sur le cas du RGPD. Sur son blog, il délivre quelques conseils pour accompagner les entreprises. « Mon travail est de décrypter la réglementation : pourquoi c’est obligatoire ? Comment ça se passe ? Ce sont des questions que beaucoup me posent. La question qui revient le plus souvent est de savoir ce qu’il va se passer si une entreprise n’est pas prête. »

La première étape pour démarrer efficacement les démarches est de faire un tour d’horizon de la situation de l’entreprise sur la question. En un mot : faire un audit. En fonction des données que l’on amasse, les obligations vis-à-vis du RGPD diffèrent entre une petite PME et Facebook. « Il faut répertorier les données que l’on reçoit, comment elles sont traitées, ce que l’on veut en faire, savoir si c’est une obligation de les avoir etc. préconise Thierry Vallat. Il est nécessaire d’identifier les employés qui traitent ces données aujourd’hui et les sous-traitants qui ont accès aux données. »

Une fois ces informations clairement définies, il convient de déterminer les actions à suivre pour être conforme au RGPD. Pour le savoir, la CNIL délivre un guide pratique en partenariat avec Bpifrance. Dans les grandes lignes, la récolte et l’utilisation d’une donnée doit être justifiée selon l’activité de l’entreprise. Sur le plan légal, il faut pouvoir justifier du consentement de l’utilisateur sur l’usage de ses données (texte dans les CGU, contrat, mentions légales, boutons de validation etc.) et lui permettre à tout moment d’accéder, de modifier ou de supprimer ses informations de la base de données quand il le souhaite.

Bâtir une solution sécurisée selon les données traitées

Le travail de Thierry Vallat se situe aussi dans la sensibilisation autour des sécurités informatiques. Le RGPD, avant d’être une contrainte pour les entreprises, est surtout un règlement pour lutter activement contre les dangers de la cybercriminalité et de l’exploitation frauduleuse de données personnelles. Les exemples les plus éloquents étant encore frais.

L’idée ici n’est pas tant de construire une sécurité impénétrable, mais plutôt de justifier d’une volonté de se conformer aux mesures et pouvoir montrer patte blanche en cas de contrôle. « Les enjeux ne seront pas les mêmes entre une entreprise de 5 salariés et une autre qui en a 200, explique Thierry Vallat. Une grande entreprise peut embaucher des profils spécialisés, les DPO, pour ces questions. Ce n’est pas une nécessité pour les petites entreprises, qui doivent toutefois désigner un salarié pour gérer ces données en interne. »

Le juriste préconise pour ces structures l’installation d’un service automatisé pour gérer ces informations et répondre aux questions des utilisateurs. « Si on n’a pas les ressources informatiques, on peut très bien le faire manuellement, mais l’essentiel est de le faire. Dans le cas contraire, c’est là que l’on s’expose à des plaintes. Les consommateurs sont en effet devenus très exigeants avec l’arrivée du droit à l’oubli, il faut s’attendre à un flux important de demandes sur la gestion des données. »

Pas de panique, le couperet ne tombera pas le 26 mai

Dis l’installation de son service dédié au droit à l’oubli, Google a en effet traité plus de 650 000 demandes en 4 ans. Pour Thierry Vallat, il est donc nécessaire d’assigner un interlocuteur sur ces questions au plus vite dans l’entreprise. L’avocat préconise également la tenue d’un registre de tous ces traitements et établir une charte informatique pour les grandes entreprises, « sur le même modèle que pour les droits des salariés ».

Vient alors la question fatidique, que certains préféreront peut-être nier avant de subir la situation de plein fouet : que faire en cas de fuite des données ? Pour Maître Vallat, il n’y a qu’une seule réponse : prévenir immédiatement les autorités. « Il ne faut surtout pas chercher à cacher une faille de sécurité, assène l’avocat. L’idée du RGPD est de responsabiliser les entreprises sur les données qu’elles récoltent. Le règlement fonctionne aussi dans leur intérêt, pour les obliger à renforcer leur sécurité dans un système européen cohérent. »

Thierry Vallat se veut toutefois rassurant sur l’ensemble des étapes : pour son cabinet, l’audit et l’étude d’impact se sont faits « en un week-end. » Comme il le rappelle, la CNIL se veut très conciliante et bienveillante dans l’accompagnement des entreprises pour être conformes au RGPD. Il n’est pas question ici de commencer à pénaliser les entreprises qui ne seraient pas prêtes, dans la mesure où celles-ci justifient que les premières démarches ont été prises.